SANS研究所は、AIを企業ワークフローに組み込む競争がセキュリティ対策を上回る脅威があると警告しており、広範な認証情報管理の失敗が明らかになりました。
セキュリティトレーニングおよび研究機関は、これらの調査結果を「2026 SANS Identity Threats & Defenses Survey」の一環として発表しました。この調査は世界中の500人以上のセキュリティ専門家へのインタビューに基づいています。
調査によると、組織の4分の3(76%)がサービスアカウント、APIキー、自動化ボット、ワークロードアイデンティティなどの非ヒューマンアイデンティティ(NHI)の増加を報告しています。
これらの多くはエージェント型AIと結びついており、SANS研究所によると、組織の74%は既に認証情報を必要とするAIエージェントまたは自動化システムを使用しています。
これにより、組織内で動作するNHIの数は静かに2倍または3倍に増加したとレポートは述べています。
エージェント型AIのリスクについて詳しく: #Infosec2025: エージェント型AIのセキュリティリスクに関する懸念が増加
しかし、特にエージェント型AIは、ほとんどの企業が管理できないと思われる、潜在的に新しいセキュリティリスクを表しています。
SANS研究所によると、エージェントは自律的に動作するために認証情報とアクセス権限を必要とし、重要なインフラストラクチャおよびデータと直接対話するための特権アクセスが付与されることがよくあります。
しかし、固定ロジックに従う従来のNHIとは異なり、エージェント型AIは命令を解釈し、予測不可能なアクションを実行できます。つまり、過度に特権を持つインサイダーのように動作しますが、マシン速度で動作します。また、ハルシネーション(幻覚)のリスクもあります。
Forresterは昨年、エージェント型AIの導入により2026年末までに公開されたデータ漏洩が発生すると警告し、組織は関連リスクを軽減するために「最小限の実行可能なセキュリティ」アプローチに従うよう呼びかけました。
AIガバナンスが不足している
SANS研究所の研究によると、ほとんどの組織はAI導入に対する調整されたセキュリティファーストアプローチを欠いているようです。
調査によると、92%がマシン認証情報を90日周期で更新していません。サービスアカウントが破損する可能性があるという懸念があるためです。大多数(59%)は四半期ごとにNHI認証情報の半分未満しか更新していません。一部(15%)は更新率さえ知りません。
さらに、レポートは5%の組織が自分たちの組織でエージェント型AIを実行しているかどうかさえ知らないと指摘しています。
レポートで強調されているもう1つの課題は、多くの組織が手動アクセスレビュー、チケットベースのプロビジョニング、および定期的なローテーションに依存していることです。DevOps、クラウド、SaaSSシステム全体で機械速度で動作する大量のNHIが存在する環境では、これらの方法は単純にスケーリングしません。
SANS研究所の認定講師Richard Greeneは、組織がAIの意思決定権を、それを制御するためのガバナンスフレームワークを構築するより速いペースで与えていると警告しました。
「非ヒューマンアイデンティティがガイドレールなしでスケーリングされるとどうなるかは既に見ていますが、エージェント型AIはさらに速く進んでいます」と彼は付け加えました。
「ガバナンスの初期の兆候は励みになります。現在、ほぼ10の組織のうち4つがAIエージェントアクションに対してヒューマン・イン・ザ・ループ承認を使用しています。しかし、本当の課題は、パイロットからコア業務への移行に伴い、これらのシステムより先を行き続けることです。」
SANS研究所はシークレットボールト、自動ローテーション、スコープ付き最小権限アクセスの採用をエージェント型AIリスクに対する防壁として推奨しましたが、NHIの継続的な成長に対応するこれらの取り組みをスケーリングすることの重要性を強調しました。
翻訳元: https://www.infosecurity-magazine.com/news/governance-gaps-agents-76-increase/
